Datenschutz & Informationssicherheit

Datenschutz

Datenschutzinformationen gemäß Artikel 12 DS-GVO

Zweckbestimmung der Datenerhebung, -verarbeitung und -nutzung

Betrieb von Sicherheits-Dienstleistungen, Vertrieb, Verwaltung und Abwicklung von Dienstleistungen im Rahmen von Kunden-Verträgen und allen damit verbundenen Nebengeschäften sowie Vermittlung von Produkten und Dienstleistungen der Securitas Holding GmbH.

Durchführung der Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten, das sind in erster Linie

  • Personalien der Mitarbeiter von Securitas (z.B. Name, Anschrift, Geburtsdatum, Familienstand und Beruf/Branche, Abrechnungsdaten (Lohn, Gehalt, sonstige Einkünfte)
  • Vertragsdaten (Kunden-Verträge)
  • Personalien von Kundenbeauftragten und Ansprechpartnern unserer Kunden (Name, Vorname, Telefon und E-Mail-Anschriften)
  • Personalien von Beauftragten, Ansprechpartnern und Bereichsverantwortlichen unserer eingesetzten Lieferanten (Name, Vorname, Telefon und E-Mail-Anschriften) sowie für die Abrechnung relevanten Informationen
  • Vertragsdaten von Lieferanten

Videoüberwachung zur Sammlung von Beweismitteln bei Vandalismus oder Betrugsfällen.

Beschreibung der betroffenen Personen und der diesbezüglichen Daten/Datenkategorien

Es werden im Wesentlichen zu folgenden Gruppen personenbezogene Daten erhoben, verarbeitet und genutzt, soweit es sich um natürliche Personen handelt und soweit diese zur Erfüllung der oben genannten Zwecke erforderlich sind:

  • Kunden (Adressdaten, Identifikationsdaten, Vertragsdaten, soweit zur Vertragsabwicklung erforderlich, Steuerungsdaten ggf. sonstige Daten, die für die ordnungsgemäße und sachgerechte Abwicklung der Geschäftsbeziehung erforderlich sind.)
  • Mitarbeiter, Auszubildende, Praktikanten, Bewerber, Unterhaltsberechtigte sowie Angehörige (Bewerbungsdaten wie Angaben zum beruflichen Werdegang, zur Ausbildung und zu Qualifikationen behördliche Zulassung/Eignung; Vertrags-/Stamm- und Abrechnungsdaten einschließlich Daten zur Lohn- und Gehaltsabrechnung, zur Lohnsteuer und Sozialversicherung; Angaben zu Privat- und Geschäftsadresse, Tätigkeitsbereich; Transaktions- und Leistungsdaten; Name und Alter von Angehörigen die für Sozialleistungen relevant sind; Bankverbindungsdaten, dem Mitarbeiter anvertraute Vermögensgegenstände; Kontaktinformationen; Mitarbeiterstatus; Qualifikationen; Mitarbeiterbeurteilungen; beruflicher Werdegang; Gesundheitsdaten soweit diese für Ansprüche zum Sozialausgleich erforderlich sind; Notfallkontaktdaten wie vom Mitarbeiter gemachte Angaben zu ausgewählten Personen, die im Notfall kontaktiert werden sollen, zu Zwecken der Personalverwaltung und -steuerung, der Kommunikation sowie der Abwicklung und Kontrolle von Transaktionen)
  • ehemalige Mitarbeiter, Rentner wie oben im Rahmen der gesetzlichen Aufbewahrungsfristen
  • Vermittler-/Makler-/Agenturen (zur Verwaltung und Steuerung, zur Kommunikation sowie zur Abwicklung und Kontrolle von Transaktionen, Bankverbindungen, Abrechnungs- und Leistungsdaten)
  • Mieter (Adress- und Vertragsdaten)
  • Geschäftspartner und Agenturen, Vermittler und Makler (Adress-, Abrechnungs- und Leistungsdaten)
  • Lieferanten (Adress- und Funktionsdaten) und
  • Kontaktpersonen zu vorgenannten Gruppen auch soweit es sich dabei um juristische Personen handelt (Kontaktkoordinaten sowie Betreuungsinformationen)

Empfänger/Kategorien von Empfängern, denen die Daten mitgeteilt werden können

  • Öffentliche Stellen, die Daten aufgrund gesetzlicher Vorschriften erhalten (z.B. Sozialversicherungsträger, Finanzbehörden, Krankenkassen).
  • Interne Stellen, die an der Ausführung der jeweiligen Geschäftsprozesse beteiligt sind (Personalverwaltung, Buchhaltung, Rechnungswesen, Einkauf, Marketing, Vertrieb, Telekommunikation und EDV).
  • Externe Auftragnehmer (Dienstleistungsunternehmen) entsprechend § 11 BDSG (Art. 28 DS-GVO) zur Abwicklung der Verarbeitung der Daten in unserem Auftrag für festdefinierte Zwecke im Rahmen des Auftrages.
  • Weitere externe Stellen wie z.B. Kreditinstitute (Gehaltszahlungen, Lieferantenrechnungen), gruppenzugehörige Unternehmen oder andere externe Stellen zur Erfüllung der oben genannten Zwecke, soweit der Betroffene seine schriftliche Einwilligung erklärt hat, dies zur Vertragserfüllung erforderlich oder eine Übermittlung aus überwiegendem berechtigten Interesse zulässig ist.

Datentransfer außerhalb der EU

Es findet kein Datentransfer in Drittstaaten außerhalb der EU statt.

Fristen für die Löschung der Daten

Personenbezogene Daten werden unaufgefordert und unverzüglich gelöscht, sobald sie nicht mehr für ihre konkret benannten Zwecke notwendig sind. Sofern Daten aufgrund einer gesetzlichen Aufbewahrungsfrist gespeichert werden, werden sie nach Ablauf dieser Fristen gelöscht.

Hinweis auf die Rechte als von der Erhebung von Daten betroffenen Personen

Sie haben das Recht, Auskunft über die von Ihnen erhobenen und gespeicherten Daten zu erhalten (§34 BDSG, Art. 15 DSGVO).

Wenn sie Ihre Einwilligung zur Speicherung Ihrer Daten erteilt haben, haben Sie das Recht, diese Einwilligung jederzeit zu widerrufen (§4a BDSG, Art.7, Abs.3 DS-GVO).

Sollten personenbezogene Daten von Ihnen falsch gespeichert sein, so haben Sie das Recht, dass Ihre Daten berichtigt werden (§35 BDSG, Art. 16 DS-GVO).

Wenn Sie die Vermutung haben, dass Ihre personenbezogenen Daten missbräuchlich gespeichert oder genutzt wurden, haben Sie das Recht, sich bei der zuständigen Aufsichtsbehörde für den Datenschutz zu beschweren (E-Mail: presse@datenschutz-berlin.de)

Anonyme Datenerhebung

Sie können die Webseiten Securitas Deutschland grundsätzlich besuchen, ohne uns mitzuteilen, wer Sie sind. Wir erfahren nur den Namen Ihres Internet Service Providers, die Webseite, von der aus Sie uns besuchen, und die Webseiten, die Sie bei uns besuchen. Diese Informationen werden zu statistischen Zwecken ausgewertet. Sie bleiben als einzelner Nutzer hierbei anonym.

Erhebung und Verarbeitung personenbezogener Daten

Personenbezogene Daten werden nur erhoben, wenn Sie uns diese von sich aus bei der Registrierung für personalisierte Dienste, Umfragen oder Gewinnspiele mitteilen. Im Rahmen der personalisierten Dienste von Securitas Holding GmbH, werden Ihre Registrierungsdaten unter der Voraussetzung Ihrer Einwilligung zur bedarfsgerechten Gestaltung elektronischer Dienste (insbesondere: Newsletter) zu einem Nutzerprofil zusammengefügt, um Ihnen persönlich auf Sie zugeschnittene Informationen anbieten zu können. Diese Daten werden in verschlüsselter Form übertragen, um einem Missbrauch der Daten durch Dritte entgegenzuwirken.

Wir weisen darauf hin, dass die Datenübertragung im Internet (z.B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.

Der Nutzung von im Rahmen der Impressumspflicht veröffentlichten Kontaktdaten durch Dritte zur Übersendung von nicht ausdrücklich angeforderter Werbung und Informationsmaterialien wird hiermit ausdrücklich widersprochen. Die Betreiber der Seiten behalten sich ausdrücklich rechtliche Schritte im Falle der unverlangten Zusendung von Werbeinformationen, etwa durch Spam-Mails, vor.

Nutzung und Weitergabe personenbezogener Daten

Die im Rahmen der Homepage www.securitas.de erhobenen personenbezogenen Daten werden ohne Ihre Einwilligung nur zur Bearbeitung Ihrer Anfragen genutzt. Im Übrigen findet keine Weitergabe an sonstige Dritte statt. Ihre jeweilige Einwilligung können Sie selbstverständlich jederzeit mit Wirkung für die Zukunft widerrufen. Es findet kein Export der Daten in Staaten außerhalb des EWR statt.

Informationssicherheit

Leitlinie Informationssicherheit

Für die Securitas ist eine sichere und zuverlässige Informations- und Kommunikationstechnik von höchster Bedeutung. Sie ist darüber hinaus ein unerlässliches Qualitätsmerkmal. Informationssicherheit resultiert aus der Verpflichtung gegenüber allen Stakeholdern der Securitas bei der Erhebung, Speicherung, Übermittlung und Nutzung von Informationen / Daten angemessen sicher vorzugehen. Die erforderliche Informationssicherheit muss sowohl durch organisatorische, infrastrukturelle, als auch personelle und technische Maßnahmen gewährleistet werden.

Sicherheitsziele

Grundwerte der Informationssicherheit

Die Wahrung der Sicherheit von Informationen bezieht sich auf die folgenden Grundwerte:

  • Vertraulichkeit: Schutz vor unberechtigtem Zugriff auf Informationen.
  • Integrität: Schutz vor ungewollter Verfälschung von Informationen.
  • Verfügbarkeit: Schutz vor ungewollter Beeinträchtigung des Zugriffs auf Informationen.

Angestrebtes Sicherheitsniveau

Für die Securitas wird ein gehobenes Maß an Informationssicherheit angestrebt. Das bedeutet insbesondere, dass bei Verstößen gegen die Grundwerte der Informationssicherheit (s. o.) das Schadensausmaß in der Regel keine signifikanten oder existenzbedrohlichen Ausmaße annehmen soll.

Es ist sicherzustellen, dass dem Schutzbedarf angemessene und dem Stand der Technik entsprechende Sicherheitsmaßnahmen ergriffen werden, um den erforderlichen Schutz der Informationen / Daten sowie die notwendige Verfügbarkeit der IT-Systeme zu gewährleisten. Die Sicherheitsmaßnahmen müssen in einem wirtschaftlich vertretbaren Verhältnis zum Wert der schützenswerten Informationen und IT-Systeme stehen.

Gesetzesverstöße werden nicht toleriert. Alle Mitarbeiter der Securitas und Dritte, derer sich Securitas zur Aufgabenerfüllung bedient haben alle einschlägigen Gesetze (z. B. Strafgesetzbuch, Gesetze und Regelungen zum Datenschutz) einzuhalten.
Alle Mitarbeiter sind sich ihrer Verantwortung beim Umgang mit Informationen (analog wie digital) bewusst und unterstützen die Sicherheitsstrategie nach besten Kräften.

Die Sicherheitsprinzipien der Securitas

Bei der Umsetzung der Informationssicherheit in der Securitas sind die folgenden Sicherheitsprinzipien einzuhalten:

  • Prinzip des „aufgeräumten" Arbeitsplatzes
    Bei Abwesenheit wird der Zugang und Zugriff auf vertrauliche Unterlagen (Papier, Datenträger) durch Unbefugte verhindert.
  • Prinzip des „gesperrten" Bildschirmes
    Bei Abwesenheit wird der Zugang und Zugriff auf vertrauliche Daten und Anwendungen durch Unbefugte verhindert.
  • Prinzip des minimalen Zugriffs (need to know)
    Jeder Nutzer erhält nur die Zugriffsrechte, die zur Erfüllung der jeweiligen Aufgabe, insbesondere unter Wahrung der datenschutzrechtlichen Bestimmungen, erforderlich sind.
  • Prinzip der Nachvollziehbarkeit und Nachweisbarkeit
    Ziel ist es, alle sicherheitsrelevanten Aktivitäten nachvollziehbar zu gestalten, die Verantwortlichen eindeutig identifizieren zu können sowie Datenmaterial für Streitfälle/Unstimmigkeiten in einem angemessenen Maße insbesondere unter Beachtung der geltenden Datenschutzbestimmungen vorzuhalten und zu erheben. Dies umfasst die Nachvollziehbarkeit von Datenzugriffen, Transaktionen und der (geschäftlichen) Kommunikation zwischen den jeweiligen Stakeholdern. Dabei ist die Integrität der Daten und Informationen stets zu gewährleisten.
  • Prinzip der kontinuierlichen Selbstkontrolle
    Die Fehlerquellen werden identifiziert, Folgen minimiert und nachhaltig abgestellt.
  • Prinzip der ganzheitlichen Vorgehensweise
    Alle wesentlichen Anforderungen werden von Beginn eines jeden Vorgangs an berücksichtigt.

Sicherheit der Informationssysteme während des Lebenszyklus

Die Sicherheit eines Informationssystems muss ab Beginn des Lebenszyklus ein fester Bestandteil bei der Planung, der Spezifikation, der Beschaffung, der Entwicklung, der Einführung, dem Betrieb, der Wartung und der geordneten Außerbetriebnahme sein. Das Informationssystem muss den geltenden Sicherheitsstandards (Sicherheitsrichtlinien) entsprechen.

Sicherheitsstrategie

Um die angestrebten Sicherheitsziele zu erreichen, wird bei der Securitas ein Informations-sicherheitsmanagementsystem (kurz: ISMS) betrieben, welches sich an den Vorgaben der DIN ISO/IEC 27001/2 orientiert.

Organisationsstruktur

Um die Ziele im Bereich Informationssicherheit zu erreichen, wurde ein Informationssicherheits¬beauftragter (ISB) ernannt und eine Informationssicherheitsorganisation etabliert.

Informationssicherheitsprozess

Der Informationssicherheitsprozess orientiert sich am PDCA-Modell (Plan-Do-Check-Act bzw. Planung-Umsetzung-Erfolgskontrolle-Optimierung) der ISO/IEC 27001.
Die einzelnen Phasen beschreiben einen Zyklus der wiederkehrenden Arbeiten, die im Rahmen des Informationssicherheitsmanagements durchzuführen sind. Dies sind im Einzelnen:

  • Plan-Phase (Planung und Konzeption)
    Hierzu gehören die Planung des Vorgehens des Informationssicherheitsmanagementsystems (Planung ISMT, Entwicklung Leitlinie etc.) sowie die Erstellung eines Sicherheitskonzeptes.
  • Do-Phase (Umsetzung der Planung)
    In der Do-Phase werden das ISMT etabliert und die im Rahmen des Sicherheitskonzeptes geplanten Vorgehen und Maßnahmen umgesetzt.
  • Check-Phase (Erfolgskontrolle, Überwachung der Zielerreichung)
    Diese Phase beinhaltet die internen Prüfungen, die sicherstellen sollen, dass die angestrebten Sicherheitsziele erreicht werden.
  • Act-Phase (Optimierung, Verbesserung)
    Zur Act-Phase gehören Tätigkeiten, die (meist basierend auf den Ergebnissen der internen Prüfungen der Check-Phase) Abweichungen behandeln, indem Prozesse oder Maßnahmen so angepasst bzw. verbessert werden, dass das anvisierte Sicherheitsniveau besser erreicht werden kann.

Download Informationssicherheitsleitlinie der Securitas Holding GmbH